Veri İşlemenin Veri Sorumlusunun Meşru Menfaatleri İçin Zorunlu

Açık rıza olmaksızın kişisel verilerin işlenebileceği son hal ise KVKK m.5/2’nin son bendi olan f bendinde düzenlenen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”dır.

Bu şarta dayanarak veri işlenmesi için veri sorumlusunun “meşru menfaati (legitimate interests)” olmalıdır. Buna ek olarak veri işleme, “ilgili kişinin temel hak ve özgürlüklerine zarar verilmemelidir.” Bu bende dayanılabilmesi için her iki koşulun da birlikte sağlanması gerekir. Veri sorumlusunun “meşru menfaati” ile ilgili kişinin “temel hak ve özgürlükleri” arasında bir “dengeleme testi (balancing test)” yapılmalıdır. Bu test sonucunda meşru menfaat daha ağır basarsa KVKK m.5/2/f’ye dayanan veri işleme, yasal zemine oturacaktır. Ancak denge temel hak ve özgürlükler lehine ise meşru menfaate dayanarak veri işleme yapılamaz⁴³¹.

Veri işlenmesi neticesinde veri sorumlusunun sağlayacağı fayda, meşru menfaati ifade eder. Bu fayda; meşru, belirli ve halihazırda var olan bir menfaate dayanmalıdır.

Ayrıca meşru menfaat ciddi ve mühim olmalıdır. Veri işleme, veri sorumlusuna ya güncel olarak fayda sağlamalı ya da yakın bir zamanda fayda sağlayacak olmalıdır. Meşru menfaat ve amaç kavramları birbirleriyle karıştırılmamalıdır. Veri sorumlusunun meşru menfaati, işleme sonunda ulaşılacak çıkara yöneliktir. Ancak amaç, verinin işlenme nedeniyle ilgilidir. Meşru menfaat ise daha geniş bir kavramdır⁴³².

Örneğin bir şirketi devralmak isteyen kişinin şirketin güncel durumunu veya çalışanlarına ait verileri incelemesi meşru menfaat kapsamında değerlendirilebilecektir.

431 Data Protection WP, Legitimate Interests, s. 9.

432 Kurum, İşlenme Şartları, s. 16.

Zira kişi bu inceleme sonucunda satın almaya ilişkin karar verecektir. Bu da kişinin yakın gelecekte elde edeceği faydayla ilişkindir⁴³³. Bu durumda meşru menfaatin varlığını tespit için denge testi yapılmalıdır. Öncelikle veri sorumlusunun menfaatinin olup olmadığına bakmak gerekir. Somut olayda veri sorumlusu elde ettiği bilgilerle yatırımına karar verecek, şirketi satın alma kararını gözden geçirecektir. Bu nedenle veri sorumlusunun menfaatinin olduğu sonucuna varılabilir. Sonrasında bakılması gereken söz konusu menfaatin meşru olup olmadığıdır. Bu menfaat, mevcut ya da yakın gelecekte doğacak bir menfaatse meşru olduğu kabul edilir. Somut olayda bu şartın da sağlandığı görülür.

Son olarak veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüğünün kıyası yapılmalıdır. Denge testi işte bu noktada önem kazanmaktadır. Meşru menfaatin tespitinden sonra veri sahibinin temel hak ve özgürlüklerinin neler olduğu değerlendirilmelidir. Kanımızca somut olayda yapılan denge testi sonucu, veri sorumlusunun menfaati daha güçlüdür. Bu nedenle somut olayımızda veri sorumlusu meşru menfaatine dayanarak kişisel veri işleyebilecektir.

Yine işverenin kaliteli çalışan işçilerine terfi vermek amacıyla onların verilerini işlemesi bu kapsamda değerlendirilebilir⁴³⁴. Zira terfi alan işçiler motive olacak, terfi

433 Kurum, Örnekler, s. 17.

434 “Örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş̧ zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.” KVKK gerekçe, m. 5.

almayanlar ise daha verimli çalışmak için gayret edecek, bütün bunlar da işveren açısından fayda sağlayacaktır.

Meşru menfaat şartı, diğer altı şartın olmadığı hallerde veya beklenmedik hallerde başvurulacak “son çare (a last resort), en zayıf halka (the weakest link) ya da açık kapı (open door)” olarak görülmemelidir⁴³⁵. “Meşru menfaat” kavramı geniş yorumlanmaya müsaittir. Bu kavram yorumlanırken hakkın özüne zarar verme tehlikesi bertaraf edilmelidir⁴³⁶. Bu kavram ne kadar geniş yorumlanırsa veri sorumluları her fırsatta veri işlemeye çalışacaktır. Zira geniş yorum durumunda veri sorumlularının her türlü veri işleme faaliyetini bu kapsamda değerlendirip yasallaştırma riski mevcuttur. Bu nedenle veri işlemede KVKK m/2/f’ye dayanılması durumunda özel olarak dikkat etmek gerekmektedir. Zira diğer bentler daha somut olarak ortaya konulabilmektedir.

Kamu tüzel kişileri tarafından “meşru menfaat” sebebine dayanılarak veri işlenmesine ise ihtiyatla yaklaşılmalıdır. Kamu tarafından bu sebebe dayanarak veri işlenemeyeceği öne sürülmektedir. Zira “meşru menfaat” soyut ve genel bir kavramdır.

Kamu tarafından temel haklara yapılan müdahaleler için ise hukuki bir dayanak gerekmektedir. Meşru menfaat kavramının bu gerekliliğe ne kadar dayanak konusu olabileceği ise şüphelidir⁴³⁷.

Kurul “veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması”

halinin somut olayda gerçekleşip gerçekleşmediğini tespit ederken belirlediği kriterlere⁴³⁸ göre karar vermektedir. Veri işlemenin KVKK m. 5/f kapsamında hukuka uygun işleme

435 Data Protection WP, Legitimate Interests, s. 3, s. 9.

436 Küzeci, s. 347.

437 Çekin, Kişisel Veri, s. 96.

438 Kurul Kararı, 25.03.2019 T., 2019/78 K. https://www.kvkk.gov.tr/Icerik/5434/2019-78 (E.T.: 18.03.2020).

sayılabilmesi için kurulun belirlediği kriterler şunlardır.

“- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,

- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,

- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,

- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,

- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,

- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,

- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,

- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,

- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması hususlarının değerlendirilmesi gerekmektedir.”

Bu kriterler önemlidir. Her somut olay bu kriterler kapsamında ayrı ayrı değerlendirilmeli, ayrıca denge testine sokularak veri işlemenin hukuka uygun olup

olmadığına karar verilmelidir.